После совершенного действия пользователю открывается следующая страница (см. рис. 1.4), на которой указаны логин пользователя, дополнительная информация о файле, находящемся во вложении, и возможные варианты продолжения действий: скачать, посмотреть.
Рис. 1.4. Страница, отображаемая при переходе по ссылке в письме
При нажатии на кнопку «Продолжить» пользователь наблюдает процесс авторизации и подключения к почтовому серверу, как показано на рис. 1.5.
Рис. 1.5. Процесс авторизации
В силу «технических» причин почтовая система просит пользователя повторить авторизацию. Окно авторизации на рис. 1.6 уже содержит логин пользователя, и требуется только ввести пароль для продолжения.
Рис. 1.6. Окно повторной авторизации
Пользователь вводит в появившемся окне пароль, получает желаемый файл, возвращается к входящим сообщениям своего электронного ящика и продолжает обычную работу. Ни одна собака не зарычала, антивирусные системы безмятежны.
Понятное дело, что раз мы тут говорим о фишинге, скорее всего, в это время уже выполняется несанкционированное копирование всей переписки пользователя, документов и фотографий, проверяется доступ к закрепленным за аккаунтом сервисам, проводится поиск среди переписки по ключевым словам с целью обнаружения компромата, фильтруются письма с целью отыскания реквизитов, данных авторизации к платежным системам и корпоративным сервисам и другим интересным вещам, коих так много содержит аккаунт каждого из нас.
И происходит это потому, что пароль пользователя украден.
Вернемся к началу и снова рассмотрим поступившее от «ООО “Магнит”» письмо с темой «Заказ», якобы имеющее во вложении файл.
На самом деле письмо содержит текст «Файл во вложении» и «Алексей Климов». Никаких файлов во вложении нет, а есть два интегрированных в письмо изображения, имитирующих наличие вложения.
Рис. 1.7. Изображение информации о прикрепленном файле
Рис. 1.8. Изображение прикрепленного файла
Изображения изготовлены в полном соответствии со стилистикой интерфейса почтового сервиса и ничем себя не выдают. Заметить подвох довольно сложно, тем более что система почтового сервера такова, что при наведении на данные изображения пользователь может увидеть ссылку вида:
при этом ресурс https://proxy.imgsmaiL.ru/ является официальным ресурсом почтового сервера.
Страница, на которой указаны логин пользователя, дополнительная информация о файле — вложении и возможные варианты продолжения (скачать, посмотреть), — на самом деле уже страница фишинг-движка, в данном случае расположенная по адресу:
Или проще: http://e.mail.ru-cgi-bix.ru/files/. Доменное имя e.mail.ru-cgi-bix.ru принадлежит злодею, а не официальному почтовому сервису, хотя и содержит нечто похоже в написании.
Никакой авторизации при вводе пароля не происходит, анимированный в стилистике почтового сервиса бегунок просто изящно пробегает для пущей достоверности происходящего процесса соединения и выдает вполне обычное окно авторизации, также являющееся частью фишинг-движка.
После данной «авторизации» пользователь переадресовывается обратно на официальный сервер, к себе в почтовый ящик, а необходимые данные: пароль с учетной записью и доменным именем — программа (скрипт), входящая в состав фишинг-движка, записывает в нужный файл или отсылает на специальный адрес электронной почты или сервер злодея.
Как такового перемещения с официального почтового сервиса на фишинг-движок пользователь не замечает, даже если он осведомлен о возможностях фишинг-атаки.
Многие специалисты утверждают, что, для того чтобы не попадаться на подобный фишинг, нужно просто убедиться в том, что перед тобой страница фишингового сайта, для чего достаточно обратить внимание на название сайта в адресной строке браузера: если оно отличается от оригинального названия сайта, перед вами фишинговый сайт.